Mandiant 研究人员在调查LightBasin网络犯罪组织(又名 UNC1945)的活动时发现了一个名为 Caketap 的新 Unix rootkit,用于窃取 ATM 银行数据。
据 CrowdStrike 研究人员称,与中国有关的黑客组织至少从 2016 年就开始活跃,它使用的是非常复杂的工具集。CrowdStrike 研究人员报告称,自 2019 年以来,至少有 13 家电信公司受到了该组织的攻击。
该组织入侵了全球的移动电话网络,并使用专门的工具来访问电信公司的通话记录和短信。
现在,Mandiant 研究人员记录了与 LightBasin 相关的针对银行客户并专注于信用卡欺诈的活动。
Caketap rootkit 是 UNC2891 威胁参与者部署在运行 Oracle Solaris 的服务器上的 Unix 内核模块。CAKETAP 可以通过隐藏网络连接、进程和文件以隐秘模式运行。初始化后,恶意软件会将自身从加载的模块列表中删除,并使用先前加载的模块更新 last_module_id 以删除其存在的任何痕迹。
为了识别在 Solaris 系统上运行的 CAKETAP,管理员可以检查是否存在安装在ipcl_get_next_conn挂钩函数中的挂钩。
下面是一个示例命令,用于识别挂钩的 ipcl_get_next_conn 函数:
| root@solaris:~# echo 'ipcl_get_next_conn::dis -n 0 ; ::退出' | mdb -k |
干净的 SPARC Solaris 系统中的输出类似于以下内容:
| ipcl_get_next_conn: 保存 %sp, -0xb0, %sp |
Mandiant 研究人员报告说,rootkit 支持以下命令:
| 命令 | 功能 |
| 空的 | 将 CAKETAP 模块添加回加载的模块列表 |
| 米 | 更改 getdents64 挂钩的信号字符串 |
| 一世 | 添加网络过滤器(格式 <IP>p<PORT>) |
| 一世 | 删除网络过滤器 |
| 磷 | 设置当前线程 TTY 不被 getdents64 钩子过滤 |
| p | 将所有 TTY 设置为由 getdents64 挂钩过滤 |
| 小号 | 显示当前配置 |
Caketap 旨在拦截来自受感染的 ATM 交换机服务器的银行卡和 PIN 验证数据,并执行未经授权的交易。
“来自一名受害者的 ATM 交换机服务器的内存取证揭示了 CAKETAP 的一种变体,它具有额外的网络挂钩功能,可以拦截与卡和密码验证相关的特定消息。有证据表明,这种 CAKETAP 变体被用作使用欺诈性银行卡进行未经授权交易的操作的一部分。” 阅读Mandiant 发表的分析。“这个 CAKETAP 变体针对的是发往支付硬件安全模块 (HSM) 的特定消息。”
Caketap 允许处理卡验证消息和回复 PIN 验证消息。
然后,恶意软件会在内部保存与非欺诈性 PAN(主帐号)匹配的有效消息,并将其发送到 HSM,以避免影响合法客户交易并引起怀疑。
“根据 Mandiant 的调查结果,我们认为 CAKETAP 被 UNC2891 作为更大行动的一部分,成功地使用欺诈性银行卡从多家银行的 ATM 终端进行未经授权的现金提取。” 报告结束。“UNC2891 保持了高水平的 OPSEC,并采用了多种技术来逃避检测。攻击者利用他们的技能和经验来充分利用 Unix 和 Linux 环境中经常出现的可见性下降和安全措施。Mandiant 预计 UNC2891 将继续利用这一点,并针对运行这些操作系统的关键任务系统执行类似的操作以获取经济利益。”
鉴于最近几周的事件,意大利政府打算停止在当地公共部门使用俄罗斯反病毒软件。该国当局担心防病毒软件可能被用来侵入关键网站。
据路透社援引地方当局代表的话说,新规定将允许地方当局更换所有被认为具有潜在危险的软件。另有消息人士对媒体表示,相关规定将于本周通过。
卡巴斯基实验室在意大利的办公室表示,它正在监视局势并“严重关切”,特别是对其员工的命运,他们可能会受到出于地缘政治而非技术原因做出的决定的影响。该公司表示,目前的情绪将导致通过“非自由法律”,这将主要影响意大利的合作伙伴、家庭和公民。
这家俄罗斯公司的代表再次强调,他们是一家私营企业,与俄罗斯政府没有任何关系。在周二发布的一份公告中,意大利网络安全机构表示,尚无证据表明来自与俄罗斯有关联的公司的俄罗斯软件产品已受到损害。
尽管如此,有人指出,应重新评估冲突发展背景下的风险,并且由于其所服务的系统中的“高度侵入性” ,反病毒软件尤其敏感。
私营企业也拒绝与卡巴斯基合作——参加一级方程式锦标赛的法拉利车队通过双方协议宣布终止俄罗斯车队的赞助,并进一步评估使用俄罗斯杀毒软件的前景。
本周早些时候,德国网络安全机构 BSI警告用户,俄罗斯的防病毒软件可能被用于网络攻击。
跟踪 LightBasin 活动的威胁分析人员(一个出于经济动机的黑客组织)报告发现了一个以前未知的 Unix rootkit,该 rootkit 用于窃取 ATM 银行数据并进行欺诈交易。
最近观察到特定的攻击者群体针对具有定制植入物的电信公司,而早在 2020 年,他们被发现危害托管服务提供商并使其客户受害。
在 Mandiant 的一份新报告中,研究人员提供了 LightBasin 活动的进一步证据,重点关注银行卡欺诈和关键系统的入侵。
LightBasin 的新 rootkit 是一个名为“Caketap”的 Unix 内核模块,部署在运行 Oracle Solaris 操作系统的服务器上。
加载时,Caketap 隐藏网络连接、进程和文件,同时将几个挂钩安装到系统函数中以接收远程命令和配置。
分析师观察到的命令如下:
Caketap 的最终目标是从被破坏的 ATM 交换机服务器中截获银行卡和 PIN 验证数据,然后使用被盗数据进行未经授权的交易。
Caketap 截获的消息发往支付硬件安全模块 (HSM),这是一种防篡改硬件设备,用于银行业,用于生成、管理和验证 PIN、磁条和 EMV 芯片的加密密钥。
Caketap 操纵卡验证消息来破坏流程,阻止那些匹配欺诈性银行卡的消息,并生成有效响应。
在第二阶段,它会在内部保存与非欺诈性 PAN(主帐号)匹配的有效消息,并将其发送到 HSM,这样常规客户交易就不会受到影响,并且植入操作保持隐秘。
“我们认为,UNC2891 (LightBasin) 利用 CAKETAP 作为大型操作的一部分,成功使用欺诈性银行卡从多家银行的 ATM 终端进行未经授权的现金提取,” Mandiant 的报告解释道。
在之前的攻击中与攻击者相关的其他工具包括 Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight 和 Mignogcleaner,Mandiant 确认所有这些工具仍部署在 LightBasin 攻击中。
LightBasin 是一个技术娴熟的威胁参与者,它利用任务关键型 Unix 和 Linux 系统中的宽松安全性,这些系统通常被视为本质安全或由于其晦涩难懂而在很大程度上被忽略。
这正是像 LightBasic 这样的对手茁壮成长的地方,Mandiant 希望他们继续利用相同的运营策略。
至于归因,分析人员发现了与 UNC1945 威胁集群的一些重叠,但还没有任何具体的联系可以在这方面得出安全的结论。
谷歌的威胁分析小组揭露了一个名为“EXOTIC LILY”的威胁行为者组织的行动,该组织是与 Conti 和 Diavol 勒索软件操作相关的初始访问代理。
这个特定的组织首先被发现利用 Microsoft MSHTML ( CVE-2021-40444 )中的零日漏洞,因此它引发了谷歌研究人员作为潜在复杂威胁参与者的兴趣。
经过进一步调查,确定“EXOTIC LILY”是一个初始访问代理,它使用大规模网络钓鱼活动来破坏目标企业网络,然后将这些网络的访问权限出售给勒索软件团伙。
在高峰期,EXOTIC LILY 在一天内向 650 个组织发送了 5,000 多封电子邮件,显示了网络钓鱼活动的广泛性。
在分析了黑客组织的活动后,TAG 发现威胁参与者主要在工作日的上午 9:00 到下午 5:00 EST 工作,而在周末记录的活动很少。
此外,小组成员在与目标共享链接之前执行后端技术任务,例如自定义业务提案模板或将恶意软件有效负载上传到合法的文件共享服务。
从操作的角度来看,攻击链遵循严格的形式,从注册欺骗域开始,然后使用它发送电子邮件,与目标建立关系,最后通过文件托管服务共享有效载荷。
使用的域与被欺骗组织的实际域名相同,但在不同的 TLD 上注册,例如“.us”、“.co”或“.biz”。
参与者通过开源情报获取目标的电子邮件地址,或使用网站的联系表发送虚假提案。
EXOTIC LILY 运营商甚至在 LinkedIn 上创建了虚假的社交媒体账户,声称他们在这个被欺骗的组织中工作,使用 AI 生成或直接从实际员工那里窃取的图像。
由 EXOTIC LILY 在 LinkedIn (Google)上创建的假角色
这一切都是为了完成合法性的虚假形象,同时严格围绕讨论提案的设计或服务要求进行初始沟通。
一旦受害者放松警惕,Google TAG 称攻击者通过 TransferNow、TransferXL、WeTransfer 或 OneDrive 共享下载链接,从而导致BazarLoader 恶意软件的下载。
Abnormal Security 上周披露的类似 BazarLoader 网络钓鱼活动中使用了这些相同的文件共享服务。
首次发现时,该组织的恶意软件以文档文件的形式出现,试图利用 CVE-2021-40444 漏洞。后来,攻击者将交付表单更改为包含 BazarLoader DLL 和 LNK 快捷方式的 ISO 档案。
谷歌的分析师在这些样本中发现了定制的迹象,但这可能是由向 EXOTIC LILY 提供恶意软件的其他参与者完成的。
本月,该小组继续使用 ISO 文件,但现在合并了一个包含自定义加载程序的 DLL,这是以前使用的第一阶段加载程序的高级变体。
该加载程序会释放一种名为“Bumblebee”的恶意软件,使用 WMI 收集系统信息并将所有内容泄露到 C2。
Bumblebee 还可以接收来自远程参与者的命令,并下载和运行额外的有效载荷。此时,提取的文件是 Cobalt Strike。
虽然 EXOTIC LILY 的活动与 Conti 自己的业务重叠,但谷歌的威胁分析师认为,它是一个完全专注于建立初始网络访问的独特威胁行为者。
“虽然这些关系(与其他团体)的性质仍不清楚,但 EXOTIC LILY 似乎作为一个单独的实体运作,专注于通过电子邮件活动获取初始访问权限,后续活动包括部署 Conti 和 Diavol 勒索软件,这是由一组不同的演员表演,”详细介绍了 谷歌的报告。
值得注意的是,最近孔蒂内部消息的泄露反映了一个蓬勃发展的犯罪集团,其专门部门具有独特的角色和中央协调。
此外,Conti/Ryuk 操作一直与 TrickBot 组织及其恶意软件操作(即 Diavol、TrickBot、BazarBackdoor 和 Anchor)有着密切的联系。
最近,研究人员发现 Conti 勒索软件操作已经 控制了 TrickBot 恶意软件系列的开发,这得到了 Conti 泄漏中暴露的 Conti 管理人员之间的对话的支持。
因此,如果 Conti 有自己的内部团队专注于高级鱼叉式网络钓鱼和部署这些感染的初始网络访问,那就不足为奇了。
然而,Google TAG ,虽然垃圾邮件操作可能是由 Conti 操作自己进行的,但 Conti 泄漏中缺乏关于垃圾邮件的对话表明它是一个外部组。
“在 Conti 泄密事件中,Conti 成员提到‘垃圾邮件发送者’是他们通过外包合作的人(例如提供定制的‘加密’恶意软件样本等),”Google TAG 在回答我们的问题时告诉 BleepingComputer。
“然而,大多数‘垃圾邮件发送者’似乎并没有出现在聊天中(或积极交流),因此得出的结论是他们作为一个单独的实体运作。”
22 年 3 月 17 日更新:添加了来自 Google TAG 的回复。
多个华硕路由器型号容易受到与俄罗斯有关的 Cyclops Blink 恶意软件威胁,导致供应商发布安全风险缓解措施的建议。
Cyclops Blink 是 与俄罗斯支持的 Sandworm 黑客组织相关联的恶意软件,该组织历来针对 WatchGuard Firebox 和其他 SOHO 网络设备。
Cyclops Blink 的作用是为设备上的威胁参与者建立持久性,使他们能够远程访问受感染的网络
由于 Cyclops Blink 是模块化的,因此可以轻松更新以针对新设备,不断更新其范围并利用新的可利用硬件池。
在协调披露中,趋势科技警告说,该恶意软件具有 一个专门 针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息。
然后,恶意软件会接收到嵌套在闪存中并建立永久持久性的命令,因为即使恢复出厂设置也不会擦除该存储空间。
有关 Cyclops Blink 的华硕模块的更多详细信息, 趋势科技 今天发布了一篇技术文章,解释了它的工作原理。
在这一点上,Cyclops Blink 的传播显得不分青红皂白且广泛传播,因此您是否认为自己是合法目标并不重要。
由于该恶意软件与精英 Sandworm 黑客组织(也被追踪为 Voodoo Bear、BlackEnergy 和 TeleBots)相关联,因此我们很可能会在未来看到攻击者针对其他路由器制造商。
Sandworm 与其他著名的网络攻击有关,包括 2015 年和 2016 年乌克兰停电事件背后的 BlackEnergy 恶意软件 [ 1 , 2 , 3 ] 和 NotPetya 勒索软件,从 2017 年 6 月开始,这对全球公司造成了数十亿美元的损失。
在今天发布的公告中,华硕警告说以下路由器型号和固件版本容易受到 Cyclops Blink 攻击:
目前,华硕尚未发布新的固件更新以防止 Cyclops Blink,但已发布以下可用于保护设备的缓解措施:
如果您正在使用指定为 EOL(寿命终止)的三种型号中的任何一种,请注意这些型号不再受支持,因此不会收到固件安全更新。在这种情况下,建议您更换新设备。
如果您拥有 WatchGuard 网络设备并正在寻找该建议,则可以在此网页上找到供应商的威胁缓解建议
微软是最早表示冠状病毒大流行将永远改变许多人工作方式的公司之一。两年后,这家软件巨头继续积极地将远程工作工具集成到其产品中。这一次,开发人员已宣布将针对 Teams、Outlook 和 PowerPoint 进行以混合为中心的更改。
尽管许多公司的员工正在逐渐返回办公室,但允许您将远程工作和办公室工作结合起来的混合工作工具继续发挥着重要作用。因此,Microsoft 继续为其客户提供更多选择,以支持其员工的混合工作计划。
在新功能方面,今年第二季度,Outlook 网页版中的 RSVP 功能将允许参会者指定是亲自参加会议还是通过视频参加会议。因此,更容易估计计划来办公室的员工人数,从而优化即将举行的会议和进一步的工作流程
更多创新等待 Teams 协作服务的用户。其中之一将是新的 Front Row 布局,当激活该布局时,会将会议参与者的网络摄像头中的图像放置在工作区的底部。在会议室举行会议时,这种分组将允许办公室的员工看到他们的同事远程工作。类似的变化适用于 Teams Rooms,因此远程工作和在办公室工作的同事之间的互动将更加方便。
据微软称,全球有 9000 万间会议室,但只有 8% 的会议室具备视频功能。在微软的愿景中,混合工作的重要元素之一是 Loop 平台的元素。该服务允许您创建具有彼此独立存在的 Office 内容的块,但同时可以在交互过程中组合并转移给其他员工。例如,用户可以在 Teams 会议期间做一些笔记,然后将它们复制到电子邮件中并发送给他们的一位同事。同时,随着用户通过信件和 Teams 对其进行编辑和补充,笔记本身将继续更新。Loop 组件于 1 月随 Teams 一起推出,现在将集成到 Outlook 中,以更好地统一 Microsoft 的核心通信工具。
一些更改等待 PowerPoint。开发人员结合了 Cameo 工具,允许您将 Teams 中的摄像头集成到幻灯片和演示文稿中,以及音频录制,这使得为每张幻灯片录制演讲成为可能。合并后的功能将于今年第二季度面向广大用户推出。除此之外,白板工具将接收超过 50 个模板。
微软发布了一款扫描仪,可以检测被 TrickBot 团伙入侵的 MikroTik 路由器,以充当命令和控制服务器的代理。
TrickBot 是一种恶意软件僵尸网络,通过网络钓鱼电子邮件分发或被其他已经感染设备的恶意软件丢弃。一旦执行,TrickBot 将连接到远程命令和控制服务器以接收命令并下载更多有效负载以在受感染的机器上运行。
多年来,TrickBot 一直使用路由器等物联网设备作为 受感染设备与命令和控制服务器 (C2) 之间的代理。这些代理用于防止研究人员和执法部门发现和破坏他们的指挥和控制基础设施。
在微软的一份新报告中,研究人员解释了 TrickBot 团伙如何使用各种方法将易受攻击的 MikroTik 路由器作为 C2 通信的代理来攻击它们。
TrickBot 操作在入侵 MikroTik 路由器时使用了各种方法,首先使用默认凭据,然后执行暴力攻击以猜测密码。
如果这些初始方法没有提供对路由器的访问权限,威胁参与者将尝试利用 CVE-2018-14847,这是一个严重的目录遍历漏洞,允许未经身份验证的远程攻击者读取任意文件。利用此漏洞,威胁参与者将窃取“user.dat”文件,其中包含路由器的用户凭据。
一旦他们获得了对设备的访问权限,攻击者就会使用内置的“/ip”、“/system”或“/tool”命令来创建网络地址转换 (NAT) 规则,该规则将发送到端口 449 的流量重新路由。路由器到远程命令和控制服务器上的端口 80。
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]使用此 IP NAT 规则,C2 服务器不会直接暴露于威胁分析,但仍允许受感染设备进行通信。
正如微软所强调的那样,攻击者似乎对 MikroTik 设备中基于 Linux 的操作系统的有限功能有着深入的了解,他们使用在其他设备上毫无意义的自定义 SSH 命令。
去年 12 月,一份 Eclypsium 报告强调,在供应商警告存在严重缺陷几年后,数十万 MikroTik 路由器仍然容易受到恶意软件僵尸网络的攻击。
由于这些设备具有异常强大的硬件,因此它们被恶意行为者视为高价值目标,尤其是那些对DDoS 攻击等资源密集型操作感兴趣的人。
尽管安全升级多年来一直可用,但许多人仍然容易通过利用未经身份验证的远程访问和代码执行缺陷来招募僵尸网络。
已多次敦促 MikroTik 设备的所有者升级到高于 6.45.6 的 RouterOS 版本,并避免暴露 WinBox 协议。
“这项分析强调了在当今不断发展的威胁环境中保持物联网设备安全的重要性,”微软在他们的报告中警告说。
微软现在发布了一个名为“ routeros-scanner ”的取证工具,网络管理员可以使用它来扫描 MikroTik 设备,寻找它被 TrickBot 入侵的迹象。
此脚本将扫描 MikroTik 设备以获取以下信息:
此外, Microsoft 建议 在 MikroTik 设备上执行以下步骤以进一步保护它们:
2022 年 2 月, TrickBot 操作被关闭,开发人员现在 正与 Conti 勒索软件团伙 合作开发更隐蔽的恶意软件,例如 BazaarBackdoor 和 Anchor 系列。
由于 TrickBot 过去曾被打乱 ,后来又再次启动,我们可能会看到威胁参与者在未来恢复操作。因此,必须确保设备得到适当保护,以免它们在以后的活动中或被其他恶意软件组滥用。
同时,如果您使用的是 MikroTik 设备,建议您使用 Microsoft 的感染扫描程序,因为恶意命令不会因关机而被反转,并且将来可能会重新激活。
VIDIA 在 IBM 和许多第三方的帮助下,开发了一种技术,通过让未来的 GPU 直接访问 SSD 资源,可以减少显卡对 CPU 的依赖。
该技术被称为 BaM(大加速器内存),它允许 GPU 通过 PCIe 总线直接访问 SSD,几乎不使用 CPU 功率,就像现在一样。因此,释放的 CPU 资源可以用于其他更有用的任务。显卡将能够直接从 SSD 读写数据,这也将减少显卡自身内存的负载。该解决方案还将消除开发人员集成DirectStorage API 等解决方案的需要。
BaM 技术将显着加快高性能系统的工作;该项目的作者主要开发它时着眼于“重”计算任务和机器学习系统。直接访问 SSD 还将允许显卡处理更高的分辨率,从而提高渲染性能。目前,该技术处于原型阶段,开发人员尚未具体说明何时能够进入市场。
俄罗斯数字化转型部宣布开始过滤来自国外的互联网流量。据该部门的代表称,此类行为与政府机构和商业公司网站上的“前所未有的网络攻击”有关。
该部宣布在新的条件下开始跨部门协调。最新数据显示,仅政府机构中与信息安全相关的职位空缺数量在过去一个月就增加了69%。众所周知,为商业组织利益行事的专业专家正在从事对公司的击退攻击。
据该部称,“现在我们正在记录对政府网站的前所未有的攻击。如果早些时候他们在高峰期的容量达到了 500 GB,那么现在达到了 1 TB。也就是说,比之前记录的最严重的此类事件要强大两到三倍。
据国际文传电讯社报道,该部于 2 月 26 日宣布对国家信息基础设施进行前所未有的网络攻击。因此,在公共服务门户上登记了 50 多次 DDoS 攻击,总容量超过 1 TB。
今天,英国政府将向议会提交在线安全法案,以使科技公司对从其平台上删除宣扬恐怖主义或暴力、色情、在线骚扰和性侵犯儿童的非法内容承担更多责任。
如果不满足其要求,社交网络可能会被处以高达其全球收入 10% 的罚款或被屏蔽,其领导人可能会因违规行为承担最高两年的监禁。
根据该法律,英国独立的电信监管机构通信办公室 (Ofcom) 将有权向公司索取信息。他负责研究大型科技公司内部可以在互联网上传播有害内容的算法和系统。
如果高级公司高管销毁证据、未能向 Ofcom 报告违规行为、提供虚假信息或以其他方式阻碍监管审查,他们也将面临刑事责任。
该法案还包括:
据英国文化、媒体和体育部称,新闻内容和媒体将不受监管。最大的平台及其应用程序将被归为“第一类”,还将被要求限制合法但有害的内容,其功能将由立法者稍后公布。
该法案一旦提交给立法者,需要几个月的时间进行进一步完善和投票,才能获得英国女王的批准,之后成为法律。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
